WLAN gehackt,trotz WPA2/WPA3 und 42stelligen Passwort?
Hallo, ich hoffe hier kann mir jemand helfen.In letzter Zeit sind mehrfach auffällige Dinge mit unserem WLAN Netzwerk passiert. Ich möchte gar nicht alles aufzählen da es einfach viel zu viel ist.
Aber zum gröbsten; nach einem Router Wechsel bei Vodafone von der Connect Box zur Fritzbox 6660 und Werksreset aller WLAN Geräte mit der Hoffnung das es dann besser wird(was es auch geworden ist zu Mal ich jetzt mehr auffällige Dinge entdecken konnte die ich mit dem Connect Box Müll niemals so entdecken konnte) ist mir auf Gefallen das sich jemand zwischen die Endgeräte setzt (weiss Gott wie das Passwort so schnell geknackt werden konnte) und verschiedene Angriffe durchführt wie zum Beispiel vorgibt ein DHCP Server zu sein und den anderen Geräten immer wieder IPv6 Adressen zuzuordnen und den Geräten sagt das er der Internet Zugang sei.
Dies führte dazu das ich infizierte Updates zugespielt bekommen habe zu mindestens vermute ich das (Android 13 - Neu eingerichtet - neue Apps alle aktuell und Tage nach dem ich es auf dem neusten Stand eingerichtet hatte kammen Updates rein welche schon Tage vor meiner neu Einrichtung zur Verfügung standen welche also überflüssig waren)
Alle Geräte im Netzwerk unterstützen WPA2 oder sogar WPA3,das Passwort wurde mit einem Passwort Generator erstellt und erreicht 199bit mit 42 Zeichen.
Leider habe ich das Netzwerk nur unzuverlässig eingerichtet bekommen wenn ich alles auf statische IP's setzte und die DHCP Server ausschalte(ohne DHCPv4 kriege ich es ohne weiteres hin doch ohne DHCPv6 hab ich an einigen Endgeräten kein Internet Zugang mehr) weshalb ich diese wieder einschalten musste.
Ich habe alles soweit ich konnte dokumentiert, mit Screenshots und gegebenfalls Fotos,ich weiss das ich eine Anzeige erstatten sollte aber der jenige stellt dann nur sein zutun vorübergehend ein und wird es dann noch weiter treiben.
Ich würde gerne 2 Dinge tun
Erstens Mein Netzwerk sicherer machen durch Deaktivierung der DHCP Server, eventuell eine zusätzliche Angriffs Erkennung (wie zb Arp Guard fürs Android, aber etwas lokales eventuell auf meiner Home Assistant Instanz (welche aus Sicherheitsgründen derzeit vom Netz ist und eh neu installiert werden müsste) und sonst mögliche Methoden welche ohne hohen Kosten Aufwand zu bewerkstelligen sind (Zeit Aufwand ist irrelevant zumindest bei der Einrichtung,ich möchte jetzt nicht voll Zeit persönlich an den Geräten hängen und überwachen)
Habt ihr Ideen oder Tipps um dieses durchzuführen ?
Das zweite wäre ein Gegenangriff,durch meine Dokumentation,werde ich wohl auf der sicheren Seite sein wenn ich mein "eigenes" Netzwerk angreife, infiltriere,überlaste, vielleicht auch einfach überflute? Ich habe einige Ideen aber weiss nicht wie ich sowas durchführen könnte.Sinn und Zweck ist es den jenigen aus der Reserve zu locken, eventuelle Flüchtigkeitsfehler provozieren,die mir eventuell erlauben würden das Angriffs Werkzeug zu knacken oder auch einfach zu lokalisieren.Ich bedanke mich im voraus Gruß Jan
An welcher Stelle hast Du irgendeinen Beweis, dass ein Dritter Zugriff auf Dein Netz hat? Wie sieht Deine Beweisführung aus?
Das werde ich hier nicht weiter erläutern da ich nicht sicher sein kann das der jenige nicht schon längst mit ließt und das er damit aufhört reicht mir einfach nicht.
Wie soll man Dir helfen, wenn Du die relevanten Informationen nicht rausrückst? Findest Du nicht auch, dass der Text so wie Auswüchse von Paranoia lesen?
Ich könnte einen Screenshot hoch laden welcher schon mal den Beweis für einen bzw sogar zwei evil twins zeigt einen für das normale Netz der zweite fürs Gast Netzwerk
Ist auf dem Screenshot mehr zu sehen als eine Liste der verfügbaren WLANs, in der dann die Namen doppelt gelistet sind?
Nun ja die Mac Adressen unterscheiden sich zumindest die zweite Ziffer unterscheidet sich.
Und ich hab Stunden lang den Arp -a Befehl ausführen lassen und das Ergebnis gelogt.
Die MAC-Adressen nutzen dir heute reichlich wenig. Fast alle Android- (und iOS-) Geräte beherrschen ab Werk MAC Address Randomization und wechseln somit regelmäßig ihre Adresse
Die Mac Adresse der doppelten WLAN Zugangspunkte sind die die sich unterscheiden. B0:F2 irgendwas ist mein Router B2:F2 ist der evil twin.
6 Antworten
Ein Gedankenanstoß:
Woher weiß der Angreifer, welches Netzwerk er angreifen muss, um Dir Schaden zuzufügen?
Es wird in der Umgebung ja wohl mehrere WLANs geben - woher weiß er, welches WLAN Deines ist?
Mal darüber nachdenken - vielleicht könnte man so unterschiedliche "Opfer-WLANs" (Honeypots) faken - wenn nur Honeypots mit Deinem "Geruch" angegriffen werden und scheinbar anderen Leuten gehörende Honeypots in Ruhe gelassen werden, hast Du den endgültigen Beweis für einen gezielten Angriff auf Dich.
Kann ich machen obwohl ich weiß das, es gezielt gegen mich ist. Ich meine das ich sowas schon provoziert hätte mit meinem alten Router welcher noch lief aber ohne Internet als ich den ausgeschaltet habe fing es paar Tage später beim Neuen an.
Das Telefon klingelt leider zu schnell wieder, aber hier meine Gedanken zu Deinem Text.
Dies führte dazu das ich infizierte Updates zugespielt bekommen habe zu mindestens vermute ich das (Android 13 - Neu eingerichtet - neue Apps alle aktuell und Tage nach dem ich es auf dem neusten Stand eingerichtet hatte kammen Updates rein welche schon Tage vor meiner neu Einrichtung zur Verfügung standen welche also überflüssig waren)
Sorry, das ist nicht passiert. Dafür müsste der Angreifer die Domain für die Updates übernommen haben. Und wenn Du jetzt nicht Scholz mit Nachnamen heißt, sollte niemand sich diesen Aufwand für Dich versuchen zu machen.
Alle Geräte im Netzwerk unterstützen WPA2 oder sogar WPA3,das Passwort wurde mit einem Passwort Generator erstellt und erreicht 199bit mit 42 Zeichen.
Du nutzt dann aber auch und nur WPA3 oder?
Leider habe ich das Netzwerk nur unzuverlässig eingerichtet bekommen wenn ich alles auf statische IP's setzte und die DHCP Server ausschalte(ohne DHCPv4 kriege ich es ohne weiteres hin doch ohne DHCPv6 hab ich an einigen Endgeräten kein Internet Zugang mehr) weshalb ich diese wieder einschalten musste.
OK, das liest sich für mich danach, das Du Deine Endgeräte nicht im Griff hast? Warum sollten staatische IPs in Deinem Netz nicht funktionieren?
Ich könnte einen Screenshot hoch laden welcher schon mal den Beweis für einen bzw sogar zwei evil twins zeigt einen für das normale Netz der zweite fürs Gast Netzwerk
Ein Evil Twin gaukelt Dir vor Dein Netz zu sein und liest dann fleißig mit. Ein Evil Twin ist nicht in Deinem Netz. Also er kann keine IPs, wie Du schreibst, per DHCP in Deinem Netz vergeben.
Nun ja die Mac Adressen unterscheiden sich zumindest die zweite Ziffer unterscheidet sich.
Und ich hab Stunden lang den Arp -a Befehl ausführen lassen und das Ergebnis gelogt.
Sowas ist ganz normal. Aus welchem Adressraum waren die den Macs zugehörenden IPs denn?
Zu den App Updates noch Mal. Ohne diese zu installieren hab ich den Speicher der App gelöscht nach dem ich in den VPN (nordvpn Serverstandort Deutschland) bin und bin dann noch Mal rein. Wundersamer weise brauchte ich doch keine Updates mehr, ob über f-droid oder Play Store war alles aktuell.
Bitte ich verstehe das sie Zweifel haben, ich bin aber nicht hier weil ich keine Ahnung habe, ich bin kein Experte oder in keinster Weise ausgebildet in der IT aber wenn ich mir bei was unsicher bin dann sage ich das auch. Wenn sie mir nicht helfen wollen weil sie das für unmöglich halten dann sagen sie mir entweder was ich machen kann um ihnen ein eindeutigen Beweis zu liefern und helfen mir dann, sie helfen mir direkt oder sie lassen es. Bei allem Respekt ich möchte nicht darüber diskutieren ob hier irgendwas passiert und über das da sein eines evil twins ist ja wohl nicht viel zu spekulieren wenn eine ssid doppelt aufgeführt wird in beiden Frequenzen und Netzen. Ich weiss es und ich habe genug daten die alleine im einzelnen vielleicht keine Beweise sind und auch niemanden belasten aber für den Fall das der jenige irgendwie mich in Schwierigkeiten bringt sind sie entlastent wenn es nicht alles zusammen sogar ein Beweis darstellt. Ich bin kein IT forensiker weshalb ich ja hier bin.
Und noch was ein evil twin ist der erste Schritt für eine Arp poising/spoofing und andere Angriffe wenn der jenige das Netzwerk noch nicht infiltriert hat.
In Zeiten wo man bei Alibaba oder sonst einen China Händler alles an Werkzeuge und bei Google oder anderen "anonymen" Suchmaschinen software und Anleitungen besorgen kann sollte man die Augen öffnen und erkennen das keiner dieser Angriffe für Otto normal Verbraucher unmöglich sind und sich eher darüber Gedanken machen wie wir den Menschen vermitteln können wie der Umgang mit dem Internet und Netzwerken verantwortungsbewusst und vor allem sicher vor anderen gestaltet werden MUSS.
Das ich es mit versierten "Hackern" zutun habe ist mir durchaus bewusst das warum weiss ich nicht. Vielleicht training? Einfach weil er es kann ? Macht Demonstration? Minderwertigkeitskomplexe die er damit kompensiert vermeintlich "anonym" die Dominanz über andere Netzwerke zu übernehmen? Ich weiss es nicht und es interessiert mich auch nicht. Ich will das mein Netzwerk sicher geschützt vor solchen Idioten ist und dem jenigen klar machen das ich a der falsche dafür bin und b das er mit so einer Scheisse nicht durch kommt.
Wps ausschalten, WLAN ausschalten, Laptop über LAN verbinden, alle andern Geräte aus LAN und WLAN entfernen, Passwort ändern, schauen ob die Probleme weiterhin bestehen, wenn nicht Geräte einzeln wieder dazuschalten
Alles schon getan,aber mache ich sowieso wieder wenn ich weiss wie der jenige immer wieder rein kommt.
WPS im vorraus bevor ich den Internet Anschluss verbunden hatte ausgeschaltet, WPA2/WPA3, eigentlich soweit ich mich erinnere haben alle Endgeräte vom ersten Moment an WPA3 angenommen.
Ich habe ein Gerät entdeckt welches in der Fritzbox in den Einstellungen unter Heimnetz/Netzwerk/endgerät auf Bearbeiten eine Option zum Einstellen einer IPv6 Interface ID wenn ich in Google alles richtig interpretiere ist diese Option für ein Subnetz also einen Router gedacht oder irre ich mich da ?
Ja ich verstehe schon aber ist es nicht ungewöhnlich wenn es diese Option nur bei einem Gerät gibt ?
Erst war es ein iPhone nach einer Ping Flood, gleichzeitigem wieder holten Befehl(jede Sekunde) zum Löschen des Arp Eintrags der von dem Gerät kam und DNS Cache löschen war diese Interface Option auf einmal bei einem FireTV Stick verfügbar wo ich dann das selbe ausgeführt habe, irgendwann waren auch diese Einträge verschwunden aber nach kurzer Zeit kam es wieder und mein Laptop stürzte ab, ich vermute das er mich auch weg gepingt hat wenn das den möglich sein kann
Ich habe schnell aufgehört zu lesen. Strukturiere Deine Sätze. So ist das unlesbar.
wie zum Beispiel vorgibt ein DHCP Server zu sein und den anderen Geräten immer wieder IPv6 Adressen zuzuordnen und den Geräten sagt das er der Internet Zugang sei.
Android unterstützt nach meinen Informationen kein DHCPv6. Wie kommst Du also darauf, dass die IP-Adressen per DHCP vergeben wurden?
Sorry, für mich lesen sich Deine Ausführungen wie eine schwere (google-induzierte?) Paranoia.
Wie und vor Allem warum sollte irgendwer versuchen Dich über WLAN zu "Hacken". Du bist werder der der President von irgendwo, noch dürftest Du über geheimes "Wissen" verfügen... (mal abgesehen von dem Umstand, das der Jupiter in Wirklichkeit eine Drohne ist?)
WLAN hat ersmal ein sehr begrenzte Reichweite. Je mehr Endgeräte sich die Frequenzbänder teilen , um so geringer wird die effektive Signalqualität. Die meisten Leute, welche in der Stadt wohnen haben eher das Problem bereits im Nachbarraum keine ordentliche Verbindung aufbauen zu können.
...überlege mal, wer, im Umkreis von 10..20 Metern, könnte Interesse haben um mit enormen Aufwand Dein WLAN zu kapern? Deine Nachbarin oder der nette Opa aus dem 4. Stock.... vielleicht steht auch ein Mercedes Sprinter mit dunkel getönten Scheiben seit Tagen vor der Tür?
Ich habe keine Ahnung in welcher "Matrix" Du Dich verfangen hast, aber schalte alle Deine Geräte aus, geh in den Park Enten füttern, lies ein gutes Buch, geh ins Theater oder sonst wohin, wo Du wieder einen klaren Kopf bekommst.
Nein ich bin nicht hämisch oder böse zu Dir...
Und ich hab Stunden lang den Arp -a Befehl ausführen lassen und das Ergebnis gelogt
...oh Gott...
Ein nacktes arp /a listet einfach alles was sich im ARP-Cache befindet, ungeachtet der Aktualität. Hast du mal daran gedacht den ARP-Cache einfach zu löschen? (Und am besten gleich noch den DNS-Cache usw.)
Ich bin sehr viel in (im Hinblick auf Cypersicherheit) ungemütlich Gefielden unterwegs und hatte über Jahrzehnte keine Angriffe.
Dein "Tamtam" ist absolut , Gegenstandslos. Wie sich manche Leute schlimme Krankheiten "anlesen" (Hypochondrie), betreffen Deine Ängste eher Deine "Haushaltsgeräte"...
Ich hab die Arp Cache gelöscht, einige Zeit später wieder die gleichen Ergebnisse, es kam sogar schon vor, das ich die Cache gelöscht habe das WLAN vom Router ausgeschaltet habe alle Verbindungen im Router resetet und wieder eingeschaltet und einige Zeit später Arp -a und fast alle WLAN Geräte im Haushalt waren aufgelistet mit samt Host Adresse.
Ich habe einen Nachbarn im Verdacht,welcher definitiv,die Kontakte zu Leuten hat die dazu fähig sind.
Welcher auch schon versucht hat mich über den Vermieter aus dem Haus zu kriegen(er weiß nicht das ich das weiß), hier ist Post verschwunden und Wochen später wieder aufgetaucht das erste Mal war es ein Brief vom Gericht wodurch ich erheblichen schaden erlitten habe und weiß Gott welche Briefe vielleicht nie angekommen sind oder was er noch gemacht hat von dem ich nichts weiß, vor Monaten bemerkten wir als die Klingel abgeschaltet hatten das wenn jemand klingelt es doch schon noch sehr leise klingelt ich vermutete einfach das die Kontakte wohl doch noch minimal bestehen und es deshalb so leise Klingelt aber nach dem ich einen kurzweiligen mitBewohner von ihm ein Gespräch führte wo ich nebenbei erwähnt hatte das wir die Klingel abgeschaltet hatten hat er mich ziemlich überrascht/ertappt und blass angeguckt als mich das nicht mehr in Ruhe gelassen hat schaltete ich meine Klingel ab und das leise klingeln war weg (wir haben einen gemeinschafts Briefkasten), mein Fahrrad wurde mehrfach die Luft raus gelassen, einmal sogar die Schraube vom Vorderrad locker geschraubt.
Ich bin nicht hier um darüber zu spekulieren ob ich mir das einbilde, ich könnte zur Polizei aber das würde der jenige doch mit bekommen und alle beweise verschwinden lassen.
Ich brauche beweise und danach eine zuverlässigen Plan für die sichere Einrichtung meines Netzwerks.
Nein nur WPA3 funktioniert leider nicht und ich sagte nicht das es nicht funktioniert mit den statischen IP's sondern das ich es nicht zum laufen kriege.
Der Hash Wert der Updates unterscheidete sich von anderen Netzwerk geladenen Apks.
Vielleicht irre ich mich da aber beim Rest bin ich mir ziemlich sichere
Die IPs waren die von meinem Gerät zumindest ipv4 ipv6 waren nicht von meiner Fritzbox zu geteilt zumindest nicht alle. Mein Smartphone hat z.b. 5 ipv6 Adressen zugeteilt bekommen 4 davon aus verschiedenen adressräumen außerhalb meines adress Raums.
Ich schaue gleich noch Mal genau. Du hast Recht es hört sich auch paranoid an total unglaubwürdig weshalb ich seit geraumer Zeit beweise sammel.
Ich weiss das alles dokumentiere und doppelt absicher.
Zurück zum Thema
Darüber hinaus sind die Endgeräte nach gewisser Zeit oft mit Host Adresse versehen was aber nicht sein kann worauf ich aber auch kein Zugriff habe.
Die Geräte Namen in der Fritzbox ändern sich nach einem Verbindungs reset nach einer zeigt immer auf den Namen und DHCP dabei.
Arp -a liefert immer wieder die Host Adressen des vermutlich jeweilig gerade betroffenen Gerät geliefert von dem jeweiligen Gerät + meine Fritzbox es sei den ich schalte am Laptop die ipv6 aus.
Hält dem Problem aber nicht davon ab anderen Geräten weiterhin die Host Adressen mitzuteilen und zu behaupten das er der Internet Zugang wäre.
Es ist auch immer wieder kurz die Verbindung weg. An den Endgeräten fällt das nicht wirklich auf es sei den ich hab gerade eine WLAN Analyse laufen. Während dessen ändert sich dann auch in der Fritzbox der Geräte Name in der Liste und steht dann mit DHCP im Namen drin.